【獨家】憑證遭Google撤銷爆信任危機　中華電信董座揭肇因：工程師敏感度不足

搜尋引擎Google日前宣布，8月起其Chrome瀏覽器將全面撤銷中華電信的憑證信任，未來民眾在登入政府網站時，恐會看到「不安全」紅色的警告頁。雖此風波對中華電的業務影響微乎其微，但外界仍形容就像一場「信賴危機」，不安全感猶如對電信龍頭投下不信任票，不利企業形象。

對此，中華電董事長簡志誠接受本報專訪，親自澄清與解答相關疑慮。他先苦笑，如果任何事扯上一點政治，就不太好處理，但也指出，此事雖沒資安疑慮，也無營運損失，不過仍造成社會大眾困擾，於此深表歉意。

簡坦言，撤銷肇因源於Google頻頻改版，但專責部門的工程師警覺性少，敏感度確實不夠高，雙方出現爭執也沒立即通報，直到無法挽回才補救，針對這點已有所檢討懲處並記取教訓，也在7月初就會完成改正，希望彌平這場風波。

中華電董事長簡志誠表示，Google撤銷中華電信憑證雖無資安疑慮，也無營運損失，造成社會大眾困擾，深表歉意。（中華電信提供）

憑證遭Google撤銷　中華電：不涉及資安

Google Chrome於5月30日晚間發布，將移除中華電信於 2025年7月31日後簽發TLS（Transport Layer Security）網站憑證，原因是過去一年多，中華電信憑證管理中心發生一連串不符合Chrome基準規範事項。

許多人看到該公告後都是滿臉問號，紛紛詢問什麼是網站憑證？發生什麼事？撤銷後會有什麼影響？

憑證一旦不受信任，連線將出現網站不安全的警示。（翻攝畫面）

「白話來說，TLS憑證就像是網站的身分證」，簡志誠先說明，每個網站就像是公司行號，合法成立需要申請工商登記，如同「實名制」，證明不是冒牌貨；如果沒登記，就是非法。

「所以網站成立後，這些瀏覽器browser要認為你是合法有根據的，你就要取得憑證」，他說，中華電就是專門在幫Google發憑證的代理商之一，如果該網站沒取得憑證，民眾用Chrome瀏覽器進入，就會跑出「這是不安全的網站」，僅此而已，「憑證只是代表網站有按照規定合法成立，無涉及資安」。

憑證失效影響日常操作？　中華電：政府網站有「雙憑證」

所以憑證失效會怎樣？簡志誠強調，政府網站自3月起已啟動「雙憑證」機制，意即除中華電，還有其他發憑證代理公司，提供雙重保證。迄今已重簽發超過92%，預計7月初就會全部完成雙認證機制。

至於有民意代表指出，這次事件影響範圍極廣，包括行政院、財政部、經濟部等中央機關的官網，都可能無法正常瀏覽，許多上市櫃公司與金融機構也難以倖免，將影響台灣高達7成用戶，對銀行轉帳、證券下單、與線上簽署等日常生活，造成相當大的衝擊。

不只是中華電信，連行政院等政府機關網站連帶不受信任。（取自葛如鈞臉書）

簡志誠也特別澄清，民代所謂7成用戶，是指一般民眾約有逾60%的使用Google Chrome瀏覽器，與此事件是兩碼子事，也沒有用戶受到影響。

不過，8月1日後，Chrome瀏覽器將停止預設信任中華電信新簽發的TLS憑證，也為事實，可能影響民眾對政府數位服務的信任。

Google撤銷憑證肇因　中華電：未及時回覆新規

對此，簡志誠也對社會大眾造成困擾表達歉意，並細說不符規範的肇因。他說，因為網站太多了，全世界約有60多間專門幫Google Chrome發憑證的公司，台灣就是中華電信與主要股東為證交所的「TWCA台灣網路認證公司」。商業機制就叫代理商，中華電信自2002年即開始承接憑證發證服務。

因有官股身分，所以大多數政府網站的憑證，都是中華電信所發；而企業的網站則部分為台網所發，部分找海外業者發。

台灣大多數政府網站的憑證，都是中華電信所發，所以連帶受到影響。（張哲偉攝）

「Google 認可你（中華電信）的代理權，如果你有做一些違反事項什麼的，Google就要取消你。」對於究竟發生什麼事？簡志誠說，先是因為Google去年頻頻改版，可是中華電內部卻對Google規範的沒完整掌握，也沒在規定期限內回覆，因此發生爭執。

5天內未改憑證遭撤銷中華電：以為被記過結果是退學

他舉例，譬如憑證有一個「憑證延伸用途(EKU)」欄位，就是說此憑證是做什麼用途的，上面寫公司名稱與行業別，「突然在網路上面就有人說，欸？中華電信發的EKU裡面標示錯誤，這網站不是做這個行業的喔，怎麼會填這個內容？」

「但以前也沒問題，不過由於Google是開放式論壇，任何人都可以找你的問題說你這邊填寫錯，隨著越來越多人討論，Google就認為中華電發的憑證要改，要在5天內全部更正。」他說。

Google認為中華電發的憑證要在5天內全部更正，一旦遲交，就會被認為不配合。（美聯社）

他表示，可是要改的話要花時間，中華電內部可能覺得要２、３週，去年有幾件改正都遲交，就被Google認定「你不配合、你不積極」，也演變成雙方爭執的主因，「Google要在8月1日說撤銷信任這事，我們3月就研判會被處罰，以為是被記過，沒想到是直接退學…」。

工程師警覺性不足　爭取明年3月前重獲Google信任

「就是叫你5天改，你給我10天才改，最後就不被信任，所以非技術性問題， 是互動性問題。」簡志誠說，當然中華電的工程師也要檢討，警覺性與敏感度不夠，而且，如果發生狀況應立即通報，不是等來不及了才開始補救。

目前中華電信也積極爭取在明年3月重新取得Google Chrome的信任。至於已完成重簽發的憑證，有效期限為簽發日起1年，瀏覽網站都可維持正常使用。

業界觀之，若將技術面與管理面分開看，未來中華電信更需嚴肅面對其內部管理問題，並積極重建與獲得信任。（責任編輯：殷偵維）